Toon posts:

Onbekend IP adres als primaire DNS

Pagina: 1
Acties:

Vraag

woensdag 16 augustus 2017 23:51

Acties:
  • 0 Henk 'm!
  • Majestic
  • Registratie: December 1999
  • Laatst online: 22-01-2024

Majestic

Neerlandici.

Topicstarter
Gezien de vele klachten en storingen van “de dames” in huis inzake Netflix ging op onderzoek uit naar de bron van de storingen.

Al snel viel op dat alle WiFi apparatuur in huis als primair DNS adres het IP 185.141.25.61 heeft. Ik kende dit niet en na enig onderzoek kom ik tot de conclusie dat het om een IP adres uit Roemenië zou gaan. Als secundair adres is de DNS van Google ingesteld (8.8.8.8).

Mijn ziggo modem staat in bridge en mijn TP link router is tevens dhcp server. Op de TP link staan de primaire en secundaire DNS van Google ingevoerd als DNS adressen voor mijn netwerk. De WiFi verbinding loopt tevens via deze TP link router.

Door de tablets en telefoons van de dames hard in te stellen op de dns van Google zijn alle probleem verholpen. Blijft over, het onderbuik gevoel. Waarom een IP adres uit Roemenië als primair dns?

Iemand enig idee?

Je brengt me helemaal van mijn abrikoos.

Beste antwoord (via Majestic op 17-08-2017 10:46)

donderdag 17 augustus 2017 08:37

  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Ding gehackt of een pivot vanaf een gehackte client waarbij je het default wachtwoord van de TP nog in gebruik had, of een firmware lek waarbij via XSS je instellingen aangepast zijn zonder dat iemand malware hoefde te installeren of je wachtwoord nodig had (bijv. door JS te injecteren in een site die je toevallig bezocht).

Afhankelijk van hoe lang dit al aanwezig is zou het best wel eens kunnen zijn dat diverse email adressen nu gekraakt zijn en bijv. ook bankwebsites vervalst zijn.

Ik denk dat je maar beter alle clients kan gaan scannen op malware, wachtwoorden veranderen, financiele transacties nakijken enz. Ook meteen even http://haveibeenpwned.com langsgaan, misschien dat het via een gelekt account gebeurd is.

Alle reacties

woensdag 16 augustus 2017 23:59

Acties:
  • 0 Henk 'm!
  • unezra
  • Registratie: Maart 2001
  • Laatst online: 22-09 08:23

unezra

Ceci n'est pas un sous-titre.

Eerste gedachte: Router of AP gehackt?

Ná Scaoll. - Don’t Panic.

donderdag 17 augustus 2017 08:31

Acties:
  • 0 Henk 'm!
  • jan99999
  • Registratie: Augustus 2005
  • Laatst online: 08-10 23:12

jan99999

Router firmware updaten, en kijken of deze nog steeds geupdate wordt.

indien je geen update krijgt, of een nieuwere router kopen, of een andere firmware op je oude router zetten, je hebt een paar open source firmwares, die gratis zijn, en vooral geupdate worden.

donderdag 17 augustus 2017 08:37

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Ding gehackt of een pivot vanaf een gehackte client waarbij je het default wachtwoord van de TP nog in gebruik had, of een firmware lek waarbij via XSS je instellingen aangepast zijn zonder dat iemand malware hoefde te installeren of je wachtwoord nodig had (bijv. door JS te injecteren in een site die je toevallig bezocht).

Afhankelijk van hoe lang dit al aanwezig is zou het best wel eens kunnen zijn dat diverse email adressen nu gekraakt zijn en bijv. ook bankwebsites vervalst zijn.

Ik denk dat je maar beter alle clients kan gaan scannen op malware, wachtwoorden veranderen, financiele transacties nakijken enz. Ook meteen even http://haveibeenpwned.com langsgaan, misschien dat het via een gelekt account gebeurd is.

donderdag 17 augustus 2017 10:31

Acties:
  • 0 Henk 'm!
  • Majestic
  • Registratie: December 1999
  • Laatst online: 22-01-2024

Majestic

Neerlandici.

Topicstarter
Bedankt voor alle vlotte reacties. Ik denk inderdaad ook aan een hack. Ik zal vanavond die TP Link router aan een nadere analyse onderwerpen en updaten naar een andere firmware.

Andere vraag: is het denkbaar dat het Ziggo modem de oorzaak is?

Je brengt me helemaal van mijn abrikoos.

donderdag 17 augustus 2017 11:18

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Majestic schreef op donderdag 17 augustus 2017 @ 10:31:
...Andere vraag: is het denkbaar dat het Ziggo modem de oorzaak is?
Nee, want dan zouden je bedrade aansluitingen ook die rogue dns server hebben

QnJhaGlld2FoaWV3YQ==

donderdag 17 augustus 2017 15:24

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Nee, het ziggo modem waarschijnlijk niet:

- Die is niet je DHCP server op het moment
- Die is niet ingesteld als DNS server
- Die heeft geen WAN controls
- Dan hadden alle Ziggo modems van dat type hetzelfde problemen en waren de rapen ondertussen wel gaar

Afhankelijk van het type TP-Link kan je overwegen OpenWRT of DD-WRT te installeren. In beide gevallen is het natuurlijk nog steeds belangrijk om de instellingen goed te zetten en updates bij te houden, maar dat gaat meestal een stuk beter dan de OEM firmwares.

[ Voor 33% gewijzigd door johnkeates op 17-08-2017 15:25 ]

donderdag 17 augustus 2017 18:04

Acties:
  • 0 Henk 'm!
  • Majestic
  • Registratie: December 1999
  • Laatst online: 22-01-2024

Majestic

Neerlandici.

Topicstarter
Officiële, nieuwere firmware van TP Link zojuist geïnstalleerd. Probleem helaas nog niet opgelost. Ga kijken naar OpenWRT of DD-WRT.

[EDIT]
Toch op kunnen lossen via de instellingen van de Router. Bij de DHCP / DNS settings was inderdaad het DNS adres vanuit Roemenie ingevuld. Enfin, router geüpdatet, wachtwoorden weer eens gewijzigd :P

[ Voor 44% gewijzigd door Majestic op 17-08-2017 18:09 . Reden: Toch opgelost ]

Je brengt me helemaal van mijn abrikoos.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq